Im Falle schwerwiegender Sicherheitslücken veröffentlicht CERT.at Warnungen, um Betroffene schnellstmöglich zu informieren. Grundsätzlich müssen für eine Warnung folgende Kriterien erfüllt sein:

  1. Die Lücke ist leicht ausnutzbar
  2. Die Betroffenen
    1. sind sehr zahlreich, z.B. Schwachstellen in Webbrowsern
    2. bieten wichtige Dienste für viele andere an, z.B. Schwachstellen in Mail-Servern
  3. Es gibt bereits Updates oder Workarounds, um das Problem zu beheben

Im Einzelfall können auch nur einzelne dieser Voraussetzungen erfüllt sein, wenn dies sinnvoll erscheint.

CERT.at Warnungen können alternativ auch als Feed bzw. E-Mail-Abo bezogen werden.


Jun 05

Sicherheitsprobleme mit OpenSSL

5. Juni 2014

Es besteht die Möglichkeit von Remote Code Execution, Denial Of Service und Man-in-the-middle Attacken. Diese können sowohl OpenSSL Clients als auch Server betreffen. ...


May 22

"Zero-Day" Sicherheitslücke in Microsoft Internet Explorer 8

22. Mai 2014

Die "Zero-Day-Initiative" der Firma Tipping Point hat ein Advisory veröffentlicht, in dem vor einer "Zero-Day"-Lücke (CVE-2014-1770) in Microsoft Internet Explorer 8 gewarnt wird:
http://zerodayinitiative.com/advisories/ZDI-14-140/ ...


Apr 28

Sicherheitslücke in Adobe Flash Player (aktiv ausgenützt, Updates verfügbar)

28. April 2014

Adobe hat neue Versionen des Flash Players ausserhalb des monatlichen Patch-Zyklus veröffentlicht, welche eine bereits aktiv ausgenützte Sicherheitslücke (CVE-2014-0515) schliessen. ...


Apr 28

Update - "Zero-Day" Sicherheitslücke in Microsoft Internet Explorer 6 bis 11

28. April 2014
Update 2. Mai 2014

Der IT-Security-Dienstleister FireEye hat einen Blog-Eintrag veröffentlicht, in denen vor einem "Zero-Day"-Angriff auf Microsoft Internet Explorer 9-11 gewarnt wird:
New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified ...


Apr 08

Update - Schweres Sicherheitsproblem mit OpenSSL ("Heartbleed"-Lücke)

8. April 2014
Update 10. April 2014

Durch einen Fehler in OpenSSL können Angreifer Teile des Hauptspeichers eines betroffenen Systems (in Schritten von 64kB) lesen. Dadurch ist es den Angreifern möglich, an diverse Informationen, unter Umständen inklusive der "Private" Keys/X.509 ...


Mar 25

Schwerwiegende Sicherheitslücke in Microsoft Office - aktiv ausgenützt

25. März 2014

Microsoft hat ein Security Advisory zu einer schwerwiegenden Sicherheitslücke (CVE-2014-1761) in einer Komponente von Microsoft Office ...


Mar 13

Kritische Sicherheitslücke in Adobe Shockwave Player (Update verfügbar)

13. März 2014

Adobe hat eine neue Version des Shockwave Players veröffentlicht, mit der eine kritische Sicherheitslücke geschlossen wird. ...


Feb 24

Update - Schwachstelle in Apple Betriebssystemen iOS und Mac OS X (Updates verfügbar)

24. Februar 2014
Update 26. Februar 2014

Das Betriebssystem Apple iOS, das in Geräten zur mobilen Kommunikation und Internetnutzung wie dem iPhone, iPad und iPod touch eingesetzt wird, enthält in den Bibliotheken, die zur verschlüsselten Kommunikation (SSL, HTTPS) benutzt werden, ...


Feb 24

Sicherheitslücken in Flash Player und Adobe AIR (aktiv ausgenützt, Updates verfügbar)

24. Februar 2014

Adobe hat neue Versionen des Flash Player Plugins sowie von Adobe AIR ausserhalb des monatlichen Patch-Zyklus veröffentlicht, die drei teilweise bereits aktiv ausgenützte Sicherheitslücken schliessen. ...


Feb 14

Update - "Zero-Day" Sicherheitslücke in Microsoft Internet Explorer 9 und 10

14. Februar 2014
Update 20. Februar 2014

Der IT-Security-Dienstleister FireEye hat zwei Blog-Einträge veröffentlicht, in denen vor einem "Zero-Day"-Angriff auf Microsoft Internet Explorer 10 gewarnt wird:
* New IE Zero-Day Found in Watering Hole Attack
...